🔑 角色
Open WebUI 实现了结构化的基于角色的访问控制系统,具有三种主要用户角色
| 角色 | 描述 | 默认创建方式 |
|---|---|---|
| 管理员 | 拥有完全控制权限的系统管理员 | 第一个用户账户 |
| 普通用户 | 权限受限的标准用户 | 后续获得批准的用户 |
| 待处理 | 等待管理员激活的未批准用户 | 新注册用户 (可配置) |
角色分配
- 第一个用户: 在新的 Open WebUI 实例上创建的第一个账户会自动获得管理员权限。
- 后续用户: 新用户注册会根据
DEFAULT_USER_ROLE配置分配默认角色。
新注册用户的默认角色可以通过 DEFAULT_USER_ROLE 环境变量进行配置
DEFAULT_USER_ROLE=pending # Options: pending, user, admin
当设置为“pending”时,新用户必须由管理员手动批准才能获得系统访问权限。
用户组
群组允许管理员进行以下操作:
- 一次性为多个用户分配权限,从而简化访问管理
- 通过将特定资源(模型、工具等)的访问设置为“私有”,然后向特定群组开放访问来限制对其的访问
- 群组对资源的访问权限可以设置为“读”或“写”
群组结构
Open WebUI 中的每个群组都包含:
- 唯一标识符
- 名称和描述
- 所有者/创建者引用
- 成员用户ID列表
- 权限配置
- 附加元数据
群组管理
群组可以通过以下方式:
- 由管理员通过用户界面手动创建
- 当
ENABLE_OAUTH_GROUP_MANAGEMENT启用时,从 OAuth 提供商自动同步 - 当
ENABLE_OAUTH_GROUP_MANAGEMENT和ENABLE_OAUTH_GROUP_CREATION都启用时,根据 OAuth 声明自动创建
OAuth 群组集成
当 OAuth 群组管理启用时,用户群组归属关系会与 OAuth 声明中接收到的群组同步
- 用户会被添加到与其 OAuth 声明匹配的 Open WebUI 群组中
- 用户会从未出现在其 OAuth 声明中的群组中移除
- 当
ENABLE_OAUTH_GROUP_CREATION启用时,OAuth 声明中不存在于 Open WebUI 的群组会自动创建